Macs en malware, theorie én praktijk

Toch worden er bij hackwedstrijden zoals Pwn2Own ook Macs gekraakt, bijvoorbeeld via Apple’s webbrowser Safari. Zo heeft de bekende security-onderzoeker Charlie Miller in 2008 al OS X gekraakt en is dat Apple-platform sindsdien nog vaak genoeg voor de bijl gegaan. Mac-krakende Pwn2Own-mededingers stellen wel dat OS X over het algemeen beter beveiligd is dan andere platformen.

Beter beveiligd betekent natuurlijk niet veilig, of onkraakbaar. Belangrijke kanttekening is ook dat kraakbaar niet per sé gelijk staat aan onveilig. Hackers en onderzoekers kunnen weliswaar kwetsbaarheden vinden, in theorie in alle software. Maar het uitbuiten van kwetsbaarheden is vaak een hele andere zaak. Daarnaast speelt er nog de (on)waarschijnlijkheid dat er aan bepaalde voorwaarden voor uitbuiting wordt voldaan. Kortom, het is een kansenspel.

Alleen is het eigenlijk geen spel, maar serieuze business. Voor Apple, voor gebruikers, voor security-experts en beveiligingsbedrijven, én voor cybercriminelen die aan malware hun geld verdienen. Zie maar de mensen achter de nieuwe adware-installer die is ontdekt door een onderzoeker van securitybedrijf Malwarebytes. Die kwaadaardige software benut een beveiligingsgat in de vernieuwde DYLD_PRINT_TO_FILE-functionaliteit voor error-logging in OS X. Dit gat is vorige maand geopenbaard door de beruchte iOS-jailbreaker Stefan Esser.

De adware dient zich aan als een nuttig programma en lijkt legitiem, mede doordat het een valide Apple Developer ID. Daarmee komt het ook langs de ingebouwde app-controle Gatekeeper van OS X. Registratie bij Apple’s developersprogramma kost 99 dollar per jaar, dus een wegwerpaccount kan zakelijk zeer zinnig zijn voor malwaremakers. Apple heeft het bewuste ID inmiddels ingetrokken en alle software die er gebruik van maakt geblacklist.

Maar wanneer een nietsvermoedende gebruiker deze geniepige software eenmaal heeft geactiveerd, kan het dankzij de kwetsbaarheid van Esser het sudoers-bestand wijzigen. Daarmee kent het zichzelf root-rechten toe. Vervolgens downloadt en installeert het met die systeemrechten ongemerkt de eigenlijke malware. Zoals de VSearch-adware, naast een variant van de Genieo-adware en het omstreden MacKeeper, dat zich presenteert als onderhoudssoftware. In laatstgenoemde is trouwens recent ook een serieuze kwetsbaarheid ontdekt.

Apple heeft weliswaar de ontdekte adware de pas afgesneden, maar daarmee is het misbruikte gat nog niet gedicht. Daar werkt de Mac-maker wel aan: in de bèta van de volgende OS X-versie (10.11, El Capitan) is de Dyld-fout gefixt. Hetzelfde geldt voor de nieuwe, tweede bèta van de aankomende update (10.10.5) voor de huidige versie (10.10, Yosemite). El Capitan komt ergens in de komende herfst uit, terwijl de update voor Yosemite eerder wordt verwacht. Exacte releasedatums zijn niet bekend.

Ondertussen biedt de nu bekritiseerde Dyld-ontdekker Esser wel een eigen oplossing aan. Zijn Suidguard-software is een kernel-extensie voor OS X die misbruik van bepaalde kwetsbaarheden moet voorkomen. De vraag is echter of installeren van deze fix aan te raden is, ook vanwege support én in verband met updates van Apple.

De onderhouder van OS X werkt namelijk constant aan updates voor zijn software. Daarvoor krijgt het ook in stilte aangemelde informatie over gaten, waarna het bedrijf in stilte werkt aan patches. Apple geeft hierbij in de regel weinig tot geen details, hoewel externe security-experts die soms wel verstrekken. Dat laatste slaat niet alleen op Esser, die volledige openbaarheid gaf van zijn ontdekking. Het betreft ook onderzoeker Trammell Hudson, die deze week op hackersconferentie Black Hat enkele – maar niet alle – details presenteert over zijn Thunderstrike 2-worm. Hij heeft Apple eerder al ingelicht.

Het gaat hier om een proof-of-concept van geniepige malware die zich kan verstoppen in de hardware van Macs. De firmware-worm benut daarvoor fouten in de EFI-bootrom van Macs en ook in de Option rom’s van randapparatuur die de Thunderbolt-port van Apple gebruikt. Dankzij laatstgenoemde kan deze worm zichzelf repliceren zonder netwerk; het besmet Thunderbolt-randapparatuur die na aansluiting op andere Macs die weer kan infecteren.

Dankzij het verschuilen in de Mac-firmware kan de worm niet alleen detectie ontwijken. Het kan zelfs herinstallatie van het hele OS en vervanging van de harde schijf (of ssd) overleven. In totaal benut Thunderstrike 2 vijf kwetsbaarheden, waarvan Apple er inmiddels twee heeft gedicht. Dat is gebeurd in EFI Security Update 2015-001 van juni dit jaar, waardoor OS X versie 10.10.4 niet langer op triviale wijze valt te infecteren, meldt Hudson. De aanvalsvector via het web is al afgedekt.

Echter, met deze update geïnstalleerd is het gevaar niet weg. ‘Zelfs met die patch toegepast, is het nog altijd mogelijk voor Thunderstrike 2 om te schrijven naar Option rom’s en om zich te blijven verspreiden naar nieuwe machines, om voort te bestaan in het S3 resume script tot de volgende volledige reboot, om zich te verstoppen in System Management-mode en zo detectie te vermijden, en om systemen ‘onherroepelijk’ te bricken door de nvram te corrumperen’, blogt de security-onderzoeker.

Macs zijn dus niet per definitie veilig en ook niet onkraakbaar. In de praktijk lopen Mac-gebruikers ook weer niet gelijk groot gevaar. Ironisch genoeg mede door het aloude argument van ‘weinig gebruikt’ dat ditmaal niet geldt voor OS X zelf, maar voor de Thunderbolt-aansluiting. Security through obscurity is geen goede beveiliging, maar het helpt wellicht wel een beetje.